動機
私人購物網站 GILT 從 giltgroupe.bounce.ed10.net 定期發送更新電子郵件,但所有郵件均使用 giltgroupe.com 的網域金鑰進行簽署。
郵寄者:giltgroupe.bounce.ed10.net
由 giltgroupe.com 簽署
我的故事
我無法在 Debian Lenny 下使用 dk-filter 和 postfix 來使用 y.com 的網域金鑰對 x.com 進行簽署。
如果我嘗試使用以下參數初始化 dk-filter 服務:
DAEMON_OPTS="$DAEMON_OPTS -d x.com,y.com -c nofws -k -i /var/dk-filter/internal_hosts -s /etc/dk-keys.conf"
dk-filter 服務使用網域名稱 x.com (d=x.com) 進行簽名
如果我按如下方式更改守護程序 arg.s:
DAEMON_OPTS="$DAEMON_OPTS -d x.com -c nofws -k -i /var/dk-filter/internal_hosts -s /etc/dk-keys.conf"
那麼從 y.com 發送的電子郵件未經簽署。
dk-keys.conf檔如下:
*:/var/dk-filter/y.com/mail
我成功地用 DKIM 做了同樣的事情,效果完美。不過DK好像不行。我使用 y.com 的金鑰簽署 y.com 的電子郵件並使用 x.com 的金鑰簽署 x.com 的電子郵件沒有任何問題,這表明不存在設定問題。
您有什麼經驗/建議可以使透過特定選定的網域對來自多個網域的電子郵件進行簽名?
答案1
我發現使用 dkim 效果很好,因為您可以指定要從中「簽署」的網域。 IE。電子郵件來自 y.com,但在 DKIM 簽名中:d=x.com。不過,使用 dk-filter 時,每個簽章域仍然是 from: 位址中的主機域。 IE。從:[電子郵件受保護]== DomainKeys-Signature:d=y.com,即使您使用的是 x.com 的 KEY。
因此,即使您可以使用 x.com 的金鑰簽署 y.com 的電子郵件,簽名網域將始終是 y.com,因此您仍然需要為每個網域建立單獨的 s._domainkey 項目。
答案2
雖然已經有一段時間了,但遇到了這個問題,找到了這篇文章,在這裡找到了一些其他文件:
http://www.elandsys.com/resources/sendmail/dkim.html
-d 網域 [,...] 以逗號分隔的網域列表,其郵件應由此篩選器簽署。來自其他網域的郵件將被驗證而不是被簽署。 [ ... ] 在任何一種情況下,網域名稱都可能包含特殊字元“*”,該字元被視為與網域名稱中的零個或多個字元相符的通配符。
所以,我用了類似的東西
-d *.ro,*.eu
用於簽署所有 .ro 和 .eu 網域。工作精美,簽名與發送域匹配。當然,您仍然必須在每個網域的 DNS 區域中插入公鑰,但如果您對所有網域使用相同的金鑰,這很容易。
使用Ubuntu 10.04,postfix 2.7.0,dk-filter 1.0.0
答案3
您需要建立一個每行一個網域的 txt 檔案(例如 /etc/dk-domains.conf),並將其新增至 d-filter 設定檔(debian 和衍生版本中的 /etc/default/dk-filter)。
不要忘記將此文件的所有者更改為“df-filter”
我的 /etc/default/dk-filter 檔案如下所示:
DAEMON_OPTS="-l -i /etc/mail/dkim/trusted_hosts -k -s /etc/dk-keys.conf -d /etc/dk-domains.conf"
SOCKET="inet:12345@localhost
祝你好運。
Enter On Line 的 Jefferson Pugliese 網路經理